Coraz więcej urządzeń domowych łączy się z siecią: kamery, głośniki, telewizory i inteligentne wtyczki. Niestety, to właśnie sprzęt IoT bywa najsłabszym ogniwem bezpieczeństwa. Dlatego warto rozdzielić ruch sieciowy na osobne sieci wirtualne (VLAN), dzięki czemu telewizor nie „zobaczy” Twojego laptopa, a kamera nie będzie miała dostępu do serwera NAS. Poniżej znajdziesz konkretny plan konfiguracji na routerze z OpenWrt: od koncepcji podziału, przez ustawienia switcha i interfejsów, po reguły zapory oraz praktyczne testy.
Plan segmentacji: trzy logiczne sieci i ich rola
Najprostszy i skuteczny układ zakłada trzy segmenty. Pierwszy to sieć domowa (LAN) dla komputerów i telefonów, drugi to sieć IoT dla urządzeń multimedialnych i czujników, trzeci zaś to sieć gościnna (GUEST) do udostępniania Wi-Fi odwiedzającym. Celem nie jest całkowita izolacja wszystkiego od wszystkiego, lecz sensowny kompromis: urządzenia IoT mają dostęp do internetu i – ewentualnie – do jednego wybranego serwisu (np. serwera Home Assistant), natomiast nie widzą stacji roboczych, dysków sieciowych i drukarek.
Wymagania sprzętowe: router, switch i punkty dostępu
Do wydzielenia VLAN potrzebujesz routera z OpenWrt z obsługą VLAN na poziomie przełącznika (najczęściej chipy switche 802.1Q) oraz punktów dostępu Wi-Fi, które rozpoznają tagowanie ramek. Jeżeli korzystasz z dodatkowego switcha, upewnij się, że wspiera VLANy i pozwala oznaczać porty jako „tagged” lub „untagged”. W praktyce port „uplink” między routerem a switchem i AP będzie tagowany, a porty dla urządzeń końcowych – zazwyczaj nietagowane.
Adresacja i DHCP: porządek ułatwia reguły zapory
Ustal przejrzyste podsieci, np.: LAN 192.168.10.0/24, IoT 192.168.20.0/24, GUEST 192.168.30.0/24. Każdą obsłuży oddzielny serwer DHCP na routerze. Dzięki temu reguły firewall staną się czytelne: łatwo pozwolisz na ruch z IoT tylko do internetu, a z LAN do IoT wyłącznie na konkretny host i port.
Konfiguracja VLAN na switchu w OpenWrt (widok ogólny)
W interfejsie LuCI przejdź do sekcji sieci i włącz 802.1Q. Utwórz trzy VLANy, np. 10 (LAN), 20 (IoT), 30 (GUEST). Port łączący router z AP ustaw jako „tagged” dla wszystkich trzech VLAN, porty dla komputerów biurowych jako „untagged” w VLAN 10, a porty do mostka z urządzeniami IoT – „untagged” w VLAN 20. Jeżeli korzystasz z osobnego switcha zarządzalnego, zrób analogicznie: trunk (tagged) do routera i AP, access (untagged) do końcówek.
Interfejsy logiczne i mosty (br-lan, br-iot, br-guest)
W OpenWrt utwórz trzy interfejsy: br-lan dla VLAN 10, br-iot dla VLAN 20 i br-guest dla VLAN 30. Każdemu przypisz odpowiadający mu „device” (np. eth0.10, eth0.20, eth0.30), następnie ustaw statyczne adresy bramy (np. 192.168.10.1, 192.168.20.1, 192.168.30.1) i włącz DHCP z odpowiednimi pulami. Od tej chwili każdy segment działa jak niezależna sieć warstwy 3.
Wi-Fi: trzy SSID i przypisanie do mostów
Skonfiguruj trzy sieci bezprzewodowe: „Dom” → br-lan, „IoT” → br-iot, „Goście” → br-guest. W przypadku sieci gościnnej włącz izolację klientów (client isolation), aby urządzenia podłączone do tego samego SSID nie widziały się nawzajem. W sieci IoT warto zablokować także multicast/broadcast, jeśli nie korzystasz z protokołów, które ich wymagają, ponieważ ograniczy to głośny ruch i poprawi stabilność.
Zapora sieciowa: minimalne reguły, które robią różnicę
Domyślnie zezwól na ruch forward z LAN do wszystkich stref, natomiast z IoT i GUEST tylko do WAN. Jeżeli chcesz, aby urządzenia z LAN mogły zaglądać do paneli IoT (np. 192.168.20.50 – kamera), dodaj wyjątek: regułę pozwalającą z LAN → IoT, dest. host 192.168.20.50:443/80. W drugą stronę zachowaj blokadę. To prosty model „mój komputer może zajrzeć do IoT, ale IoT nie wejdzie do LAN”.
Wyjątki dostępu: Home Assistant, AirPlay i drukarki
Jeżeli masz centralę typu Home Assistant w VLAN LAN, a czujniki lub gniazdka w VLAN IoT, dodaj reguły pozwalające tylko na konkretne porty i protokoły. Dla multicastów (mDNS/Bonjour) przyda się reflektor mDNS (mdns-repeater) między VLAN, jednak włącz go wyłącznie między tymi strefami, które tego wymagają. Dzięki temu nie zasypiesz całej sieci rozgłoszeniami.
Testy i obserwacja: upewnij się, że izolacja działa
Po zapisaniu konfiguracji sprawdź podstawy. Z laptopa w LAN spróbuj „ping” do bramy IoT (powinno działać), a następnie do urządzenia IoT (jeśli reguły nie przewidują wyjątków, powinno być zablokowane). Z urządzenia IoT wykonaj „ping” do komputera w LAN – test powinien zakończyć się niepowodzeniem. Dodatkowo spróbuj otworzyć strony WWW z IoT; dostęp do internetu ma działać, ale lokalne adresy z LAN – nie.
Wydajność i stabilność: gdzie giną megabity
Tagowanie ramek i dodatkowe reguły firewall nie powinny istotnie spowalniać sieci przewodowej. Jeżeli jednak zauważysz spadki w Wi-Fi, sprawdź, czy punkty dostępu nie „mieszają” ramek management na wszystkich SSID oraz czy nie używasz zbyt szerokich kanałów w 2,4 GHz. Czasem wystarczy przejść na 20 MHz, aby zyskać stabilność, szczególnie w blokach z gęstą zabudową sieci.
Kopie zapasowe konfiguracji i powrót do stanu sprzed zmian
Zanim zaczniesz, zrób „backup” ustawień OpenWrt. Po każdej większej modyfikacji pobierz nową kopię. W razie pomyłki przydzielenie złego VLAN do portu WAN może odciąć internet do czasu fizycznego dostępu do routera. Kopia i notatka z mapą portów (który port to trunk, które są access) oszczędzają nerwów.
Najczęstsze błędy i szybkie poprawki
- Brak trunku do AP: SSID działają, ale wszystkie w tej samej sieci. Upewnij się, że port do AP jest „tagged” dla VLAN 10/20/30.
- Domyślne reguły forward: IoT nadal widzi LAN. Zmień politykę strefy IoT na „reject” dla forward i dopiero dodawaj precyzyjne wyjątki.
- Jeden serwer DHCP obsługuje wiele VLAN: klienci dostają „złe” adresy. Sprawdź, czy na każdym interfejsie działa osobny DHCP i tylko tam.
- Rozlane multicast/broadcast: sieć „puchnie”. Włącz izolację klientów w GUEST i ogranicz mDNS do niezbędnych stref.
- Nieczytelna adresacja i nazwy interfejsów. Zadbaj o spójne nazwy (br-lan, br-iot, br-guest) i opis portów.
Co dalej: mały IDS i monitoring jako kolejne warstwy
Po poprawnym rozdzieleniu VLANów rozważ kolejne usprawnienia: prosty monitoring ruchu (np. interfejs statystyk w OpenWrt), listy MAC dla IoT oraz osobny DNS dla gości. Warto też włączyć rezerwacje DHCP dla kluczowych urządzeń – stałe adresy ułatwiają pisanie czytelnych reguł zapory i późniejsze audyty. Dzięki tym krokom domowa sieć staje się przewidywalna, a potencjalny problem z jednym urządzeniem nie przeradza się w kłopoty całej infrastruktury.
